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"Procede de detection et de prevention des usages iJlicites de 
certains protocoles de reseaux sans alteration de leurs 

usages licites" 

La presente invention concerne un procede de detection et 
de prevention des usages iliicites de certains protocoles de 
reseaux sans alteration de leurs usages licites. 

Elle trouve application notamment dans la securite des 
reseaux IP. Elle apporte une parade efficace a differents types 
d'attaques qui se caracterisent par une elevation soudaine du 
debit du protocole corrompu. attaques par deni de service et 
canaux caches notamment. Elle trouve un usage particulierement 
efficace sur les reseaux publics sans fil en acces payant (hot 
spot). 

L'invention presente notamment deux aspects. Le debit des 
protocoles concernes est un critere de detection et un moyen 
d'eradication de I'attaque. Dans ce second aspect, l'invention se 
base sur I'utilisation d'une fonction de retardement qui fait que 
tout paquet regu par le systeme est reemis avec un retard. Celui- 
ci est negligeable quand il n'y a pas d'attaque et devient 
important quand une attaque est detectee, au point de rendre le 
reseau inutilisable a I'attaquant. 

Le procede de ['invention est independant de la technique 
sur iaquelle le reseau IP est bati : Ethernet, IEEE 802. 11. GPRS, 
etc. 

Le procede de l'invention apporte, entre autres, une 
solution efficace aux fraudes connues sous le nom de firewall 
piercing (ou canaux caches). 

Ces techniques de fraudes permettent de faire passer au 
travers d'un equipement de filtrage des flux d'information 
normalement interdits en les encapsulant dans des flux autorises. 
L'invention permet de resoudre ce probleme dans les cas difficiles 
qui jusqu'alors etaient sans solution. 
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Le precede de Tinvention presents Tavantage d'empecher 
la frauds sans avoir d'influence negative notable sur les usages 
licites du reseau. 

De fagon plus generals, toute attaque ou frauds reposant 
5 sur un ©change inhabituel de donnees avec Texterieur d'un 
reseau local est facilement traitable par la presents invention, 
pourvu qu'elle provoque une hausse significative du debit 
normalsment consomme par le protocols corrompu. 

Alnsi certaines attaques par denis de services (attaques 
10 consistant a rendre un service inutili'sable aux autres utilisateurs 
par pure intention de nuire) peuvent aussi etre traitees. Ceci 
s'applique particuiierement bien aux reseaux, denommes reseaux 
"hot spot'', le hot spot etant une zone de couverture 
radiofrequence sur laquelle un terminal convenablement equipe 
15 peut se connecter et obtenir un acces au reseau Internet, 
moyennant le reglement d'une somme payee d'avance o'U 
prelevee sur la facture d'abonnement a un fournisseur d'acces k 
un reseau de communication comme le reseau GSM du clienf; 
Ceci est le cas si le hot spot est interconnects a un operateur 6^ 
20 reseau mobile pour utiliser I'authentification GSM. 

Dans cs dsrnisr cas, une autre attaque possible depuis le 
hot spot sur la machine qui gere Tauthentification des utilisateurs 
est critique, car c'esf precisement le serveur d'authentification du 
reseau GSM. Les operateurs de reseaux mobiles redoutent une 
25 telle attaque par deni de service, car elle mettrait en peril le 
fonctionnement du serveur d'authentification du reseau GSM et 
par effet de bord le reseau GSM lui meme. 

La presente invention permet de detector automatiquement 
un nombre anormalement eleve de requetes et de les limiter. 
30 Des techniques de « firewall piercing » pour transporter 

des protocoles interdits existent aussi et sent souvent utilisees 
sur les reseaux d'entreprises. LMnvention s'applique 
preferentiellement aux protocoles de "signalisation" comme DNS, 
iCMP ou EAP (qui lui transporte une methode d'authentification), 
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c'est-a-dire des protocoles qui ne servant qu'a faire fonctionner 
les autres protocoles de IMnterriet, mais ne transportent 
directement de donnees utiles appartenant aux utilisateurs. Or 
ces protocoles de « signalisation » sont tres differents des 

5 protocoles de transport de donnees en ce qu'ils fonctionnent a 
des debits normalement faibles et connus. Si ces protocoles de 
signalisation venaient a etre utilises lors d'une attaque en tant 
que protocoles de transport, ceci devrait aboutir a un nombre 
anormalement eleve de requetes et de reponses. 

10 Mais on remarque que Tinvention s'applique aussi a des 

protocoles de transport. Elle s'applique notamment a la protection 
de protocoles de transport a bas debit, totalement ou 
partiellement. 

Particulierement, I'invention permet de traiter les 
15 protocoles comme DNS (protocole dit de signalisation). En effet, 
sur un hot spot public par exempie, il est frequent que, par defaut, 
tous les flux soient interdits sauf les protocoles de signalisation, 
indispensables au demarrage des connexions des utilisateurs 
(transport des donnees d'authentification, collecte d'information 
20 sur la configuration du reseau, resolution de noms). Ainsi un 
fraudeur qui voudrait utiliser le hot spot sans payer n'aurait que 
les protocoles de signalisation pour construire un canal cache. A 
rinverse, les protocoles "utiles" comme http ou telnet etant 
interdits par un firewall tant que Tutilisateur n'est pas autorise a 
25 se connecter, ils ne peuvent pas etre utilises en canal cache pour 
frauder. 

II existe aussi un autre aspect selon lequel ^invention 

traite les protocoles comme les protocoles "http" ou « ftp ». En 
effet, dans son usage courant, le protocole "http" est un protocole 
30 qui presente un debit fortement asymetrique : un debit faible du 
terminal vers le serveur qui correspond a des requetes et un debit 
eleve dans I'autre sens qui correspond aux pages html servies en 
reponse. Si une fraude par canal cache sur http venait a rompre 
cette caracteristique du debit d'une connexion http, c*est-a-dire si 
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le debit montant devenait soudainement anormalement eleve alors 
I'invention serait en mesure de bloquer ce trafic. 

Pour atteindre ces objets, la presente invention concerne 
un procede de protection de protocoles de reseaux sans alteration 

5 de leurs usages licites qui consiste, pour un flux de paquets de 
donnees d'entree, a appliquer une fonction de retardement pour 
chaque paquet. insuffisant pour gener un usage iicite, mais 
suffisant pour gener un usage illicite. 

Particulierement, dans un protocole de signalisation, 

10 I'invention appliquera une fonction de retardement croissante 
avec le debit du flux surveille, de sorte que si I'usage illicite du 
protocole a titre de transport de donnees privees vient a depasser 
un debit standard, le retard croit indefiniment ce qui coupe 
pratiquement le canal en usage illicite sans gener les autres flux. 

15 D'autres caracteristiques et avantages de la presente 

invention seront mieux compris de la description et des dessins 
annexes parmi lesquels : - 

- la figure 1 represente une sequence selon un protocole: a 
proteger ; \ 

20 - la figure 2 represente un graphe temporel des debits sur 

des flux surveilles selon un autre protocole a proteger en cas 
d'attaque non bloquee et en cas d'attaque bloquee par le procede 
de IMnvention ; 

- la figure 3 est un schema bloc d'un equipement de 
25 traitement de flux a surveiller dans le precede de Tinvention ; 

- la figure 4 est un organigramme d'un mode particulier de 
realisation du procede de Tinvention ; 

- la figure 5 est un schema expliquant les divers scenarios 
dans un premier exemple d'application de Tinvention ; 

30 - la figure 6 est un graphe temporelle expliquant un 

scenario dans un second exemple d'application de Tinvention. 

On va maintenant decrire deux techniques d'attaques 
utilisees. La premiere technique d'attaque est utilisable sur les 
reseaux de type IP. De tels reseaux, peuvent. §tre des reseaux 
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d'entreprises, Tlnternet ou des "hot spots". La deuxieme 
technique d'attaque, par centre, est specifique aux reseaux "hot 
spots", et vise particulierement le serveur d'authentification GSM 
Interconnecte a un reseau « hot spot ». 
5 Generalement, les terminaux connectes a un reseau IP 

exploite par une entreprise, par un operateur de 
telecommunication ou par un fournisseur d'acces a Internet, ne 
sont pas libres de faire nMmporte quel type de connexions. 11 
existe trois grandes raisons a cela. 

10 Une premiere raison est que le reseau est un reseau de 

production et on ne souhaite pas que les utilisateurs en fassent 
un usage detourne a des fins de divertissement, d'enrichissement 
personnel ou de nuisance a autrui. 

Une seconde raison est que le reseau est d'usage payant 

15 et 11 convient de n'autoriser que les flux pour lesquels Putilisateur 
a regie un droit. 

Une troisieme raison est qu'autoriser plus de connexions 
que ce qui est necessaire pour le bon fonctionnement de 
Torganisation proprietaire du reseau ne peut etre qu'une occasion 

20 d'un usage illicite, 

Une operation de filtrage des flux entrant et sortant du 
reseau est generalement reutilisee sur des equipements a la 
frontiere du reseau tels que des routeurs filtrants ou des pare- 
feux (dans la suite, ce genre d'equipement est designe 

25 collectivement sous Tappellation "pare-feux" ou "firewalls"). De 
plus, pour le bon fonctionnement des protocoles autorises, ces 
equipements doivent laisser passer sans restriction d'autres 
protocoles indispensables tels que le protocole ICMP (RFC 792) 
ou le protocole DNS (RFC 1034) 

30 Or, il existe des outils logiciels qui permettent d'utiliser les 

protocoles autorises par les pare-feux pour faire passer des 
protocoles interdits Ces techniques sont connues sous le nom de 
"canaux caches" ou "firewall piercing" et sont toutes construites 
sur le meme schema, qui sera decrit a Taide de la figure 5 qui 
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presente ce type d'attaque dans le oas oCi le protocole DNS est 
utilise pour transporter des donnees au travers du firewall : 

a) Le pirate laisse un serveur en libre acces quelque part 
sur Internet, a I'exterleur du reseau sur lequel son terminal est 
connecte. Ce serveur a deux fonctions: 

i. Encapsuler/deoapsuler les paquets en provenance de la 
machine du pirate 

II. Retransmettre le paquet extrait vers son destinataire 
final et recevoir les paquets de ce meme destinataire pour les 
renvoyer vers le pirate (fonction de reiais). 

b) Le terminal du pirate copie le paquet de donnees d'un 
protocole interdit dans une zone libre d'un paquet d'un protocole 
autorise et I'envoie a son serveur qui le traite. > 

De cette maniere, le pirate parvient a faire sortir et entrer 
du trafic normalement interdit en I'encapsulant dans un paquet 
d'un protocole autorise. Cette fraude est redoutable pour deux 



raisons: 



pratiquement tous les protocoles permettent 
I'encapsulation, 

- les pare-feux dolvent necessairement laisser passer 
certains protocoles comme DNS et ICMP qui sont connus pour 
avoir cette capacite d'encapsulation. Un blocage pur et simple de 
ces protocoles rendrait d'une part ce reseau non conforme aux 
recommandations de bon fonctionnement et d'interoperabilites. 
mais empecherait un fonctionnement normal pour les utilisateurs 
legitimes. 

Les reseaux de type hot spot qui utilisent la m^thode 
d'authentification par carte SIM reposent sur un protocole de 
communication appele "EAP-SIM" qui est defini dans les normes 
publiees. Ce protocole permet de r^aliser une authentlfication 
GSM entre un client d'un service hot spot, et un operateur de 
telephonie mobile GSM. L'authentification GSM necessite 
quelques ressources (charge systeme). Un grand nombre de 
demandes d'authentification peut entramer une perte de qualite 
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de service, a la fois pour les clients des services GSM classiques, 
et pour les clients des services sur les reseaux Wi-Fi. 

A la figure 1, on a represents un schema d'authentification 
par la methode EAP-SIM. Un requerant 1 sur le reseau de 
5 communications envoie une requete d'authentification 2 selon un 
protocole 802.11 vers une ressource d'authentification 3, 

La ressource d'authentification execute une operation 
d'authentification et produit une reponse d'authentification 4 selon 
un protocoie AAA vers un serveur d'authentification 5. Le serveur 
10 d'authentification 5 produit en reponse un message 
d'authentification 6 qui est transmis selon le protocole SS7 vers 
un centre d'authentification 7, 

En appliquant le schema EAP-SIM en cas d'une attaque, le 
mode operatoire est le suivant ; 
15 L'attaquant signale au point d'acces qu'il est pret a s'authentifier 
(EAPOL_Start); 

Le point d'acces demande alors a Tattaquant de lui donner son 

identite (EAP-Request/ldentity); 
L'attaquant repond done avec une identite (Network Access 
20 Identifier (REC 2486) ou NAt contenue dans EAP- 

Response/Identity; 
Le point d'acces relaie la reponse de Tattaquant vers le Proxy- 

RADIUS; 

Le proxy-RADIUS analyse le contenu de Tidentite NAI et relaie la 
25 reponse vers le serveur RADIUS de Toperateur grace au 

contenu du NAI (apres ie symbole @) ; 
Le serveur RADIUS de I'operateur analyse la requete contenant 

I'identite NAI (en particuiier le code IMSI) ; 
Le serveur RADIUS de I'operateur demande alors a l'attaquant de 
30 s'authentifier avec I'authentification GSM (EAP- 

Request/SIM/Start) via le proxy-RADIUS de t'hot spot visite; 
L'attaquant repond done avec un EAP-Response/SIM/Start 

(Nonce); 
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Le proxy-RADIUS relaie alors cette reponse vers le serveur 

RADIUS de I'operateur; 
Le serveur RADIUS de Toperateur interroge alors la base 

d'authentification GSM pour recuperer n triplets GSM (n=2 
5 ou 3), 

C*est la derniere phase qui est couteuse ; car elle permet a 
Tattaquant de faire calculer n triplets GSM. 

L*attaque consiste done a rejouer au maximum le mode 
operatoire precedent en envoyant un type de paquet initiant la 
10 phase d'authentification (paquets EAPOL_Start). II est alors 
possible de realiser une attaque par deni de service par 
saturation de ressources au niveau du centre d'authentification 7, 
ce qui met en peril a la fois le reseau hot spot, mais surtout le 
reseau GSM. 

15 Pour remedier aux problemes lies aux attaques de 

protocoles de communication, Tetat de la technique fournit trois 
moyens qui sont 

- [es pare-feux dits "firewalls" ; 

- les systemes de contrdle de debit ; et 

20 - les systemes de detection et de prevention des 

intrusions. 

Les firewalls sont les systemes habituellement utilises pour 
controler les flux sur un reseau. lis sont generalement places en 
coupure entre deux sous-reseaux et analysent les paquets qui les 
25 traversent. lis sont capables de faire un filtrage a differents 
niveaux : 

- IP/ICMP : le le systemes analyse le contenu des champs 
des entetes (adresse IP sources/destination, type et code ICMP) ; 

- IP/TCP UDP: le systeme analyse le contenu des champs 
30 des entetes (adresse IP sources/destination, port TCP UDP) 

- Session : le systeme fait une analyse complete d'une 
initialisation de session pour Tetablissement d'une communication 
sur un protocole particulier et ainsi s'assure que les paquets 
entrants correspondent effectivement a des paquets sortants. 
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- contenu des donnees echangees dans les protocoles 
applicatifs et ainsi interdire certains contenus (ex: URL de sites 
pornographiques). 

Les firewalls ne sent neanmoins pas capables de bloquer 
5 les flux issus d'attaques par canaux caches car ils agissent par 
filtrage "tout ou rien" si le flux est declare valide. Dans ce cas, il 
passe integralennent ou si le flux et declare invalide, aucun 
paquet ne passe. Or les attaques par canaux caches sont plus 
subtiles puisqu'elles utilisent des flux autorises (voire 
10 indispensables comme le DNS), Par consequent, le seul element 
qui permette d'identifier une telle attaque est le debit 
anornnalement eleve auquel fonctionnent ces protocoles licites 
quand ils sont utilises pour une attaque par canaux caches, 
Aucun firewall ne permet ce genre de critere de filtrage. 
15 Par ailleurs, le precede de Tinvention offre un filtrage 

"auto-adaptatif du trafic suspect qui permet: 

- de bloquer rapidement les flux suspects; 

- de relacher automatiquement le blocage une fois que la 
situation est revenue a la normale; 

20 - d'offrir a chaque type d'attaque une reponse adapte en 

termes de rapidite de biocage, de limite de debit, de rapidite de 
relachement du blocage ainsi quMI sera decrit plus loin pour la 
fonction f(), 

- d'eviter de totalement bloquer un flux legitime, et pourtant 
25 trop abondant, en ne faisant qu'un ralentissement du ainsi qu'il 

sera decrit plus loin sur le mode de fonctionnement "sub-normal" 

Le trafic continue done a passer, meme si le service est 
legerement degrade. Un firewall classique le bloquerait 
completement. 

30 Les systemes de controle de debit permettent d'attribuer 

une partie de la bande passante totale disponible a un type de 
flux, notamment pour eviter des situations de congestion. lis font 
partie des systemes de gestion de la qualite de service. Dans une 
certaine mesure, ces systemes permettent d'eviter Tutilisation 
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frauduleuse de la bande passante sur les reseaux. Par exemple, 
i!s permettent de limiter le debit total des requetes DNS et 
reduisent ainsi la portee de Tattaque par canaux caches sur DNS. 
Un logiciel comme !e logiciel open source ipfilter, grace a son 
5 module "limit", offre de telles fonctionnalites de limitation de 
d6bit. 

Toutefols, cela ne reduit pas comptetement au silence un 
attaquant puisquMI pourra toujours emettre des donnees au 
maximum du debit autorise par le systeme. 
10 La figure 2 montre la reponse en termes de debit a une 

attaque par canaux caches sur DNS. 

A la figure 2, on a represente sur un meme graphique 
temporel : 

- le debit 12 caracteristique d'un protocole protege par le 
15 precede de Tinvention quand une attaque survient ; 

- le debit 8 caracteristique d'un protocole protege par un 
systeme de controle de debit lors de la meme attaque ; 

- le debit 9 caracteristique d'un protocole sans auDune 
protection lors d*une meme attaque que celle prevue pouP: les 

20 debits 8 et 12. 

Lors d'une attaque, le debit augmente relativement 
rapidement selon une pente 10, puis le trafic reste sensiblement 
constant avec des oscillations aleatoires autour d'une valeur de 
debit de regime §tabli. 

25 En appliquant un contrdle de debit un systeme de controle 

de debit de I'etat de la technique, le debit de Tattaquant monte 
plus lentement que dans le cas precedent puis reste constant, 
bloque a une valeur de seuil qui correspond au moins au debit 8 
d'un protocole de signalisation le plus exigeant en debit. 

30 En appliquant le precede de ['invention, le debit de 

Tattaquant passe par un maximum 13 puis decroTt jusqu'a 
s'annuler plus ou moins rapidement ainsi qu'on le decrira plus 
loin. 



On voft bien sur la figure 2 que le systeme de controle de 
debit ne peut pas faire mieux que iimiter la bande passante 
disponible a Tattaque. En revanche, le precede de Tinvention 
permet de faire tendre le debit vers zero avec une Vitesse de 
5 convergence parannetrable- De ce point de vue, Tinvention est 
bien pius efficace que les systemes de controle de fiux pour 
prevenir les attaques par canaux caches. 

Les systemes de detection d'intrusions (IDS) fonctionnent 
par analyse des flux circulant sur les arteres au moyen d'une 
10 sonde. Ce!!e-ci remonte les donnees collectees a un systeme 
"intelligent" qui les interprete et envoie eventuellement une 
alarms si quelque chose de suspect se produit, Ces systemes 
peuvent aussi eventuellement ordonner a un firewall de couper le 
trafic. 

15 On parle alors de systemes IDS actifs. Une autre evolution 

de ces systemes est connue sous le nom de « systeme de 
prevention » des intrusions « IPS »- 

Dans ce cas, le systeme IDS est directement couple avec 
un firewall, le flux analyse traversant cet equipement. Cela offre 

20 alors des possibilites de coupure du trafic semblable aux 
systemes IDS aotif, mals plus performantes en temps de reaction. 
Les principes de detection restent les memos, les donnees 
pertinentes sur lesquelles Tanalyse se base sont generalement 
des sequences d'envoi de messages connus (appeles les 

25 signatures des attaques). 

Les systemes IDS sont connus pour presenter de lourds 
inconvenients; 

- ils sont tres chers a cause de la technologie de la sonde 
qui doit etre capable d'analyser de grande quantite de trafic; 

30 - ils ne sont pas tres fiables car, comme tout systeme de 

reconnaissance automatique ils emettent des alarmes injustifiees 
(false positive) et reciproquement laissent passer des attaques 
(false negative); 

- ils ne cherchent a detector que les attaques connues. 
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La reponse qu'ils fournissent a une attaque n'est pas 
satisfaisante, Dans le cas d'un systeme IDS, une alarme est 
envoyee a un operateur humain qui doit reagir en consequence. 
La presence permanente d'un operateur est d'ailleurs innpensabie 
5 sur un petit reseau. Dans le cas des systemes IPS, la reponse 
n'est pas nneilleure que celle d'un firewall et on se reportera ci- 
dessus pour ('analyse. 

Le procede de Tinvention peut etre implemente soit dans 
un equipement specifique, soit comme une fonction 
10 supplementaire dans un equipement de traitement de flux deja 
present - comme par exemple un routeur, un pare-feu ou un 
serveur DNS. Dans tous !es cas, il est indispensable que la 
totalite du trafic a controier passe par cet equipement. Un tel 
equipement de traitement de flux represents schematiquement a 
15 la figure 3 comporte une interface d^entree 15 et une interface de 
sortie 17 et que le trafic arrivant sur {'interface d'entree est 
reemis sur IMnterface de sortie selon une logique definie par le 
procede de Tinvention. 

Elle repose sur le principe suivant qui est execute sm un 
20 processeur 16 de Tequipement de traitement de flux, le flux Fie 
est reemis sur I'interface de sortie comme flux Fjs avec un delai 
plus ou moins long, ni trop pour ne pas etre perceptible des 
utllisateurs "honnetes", ni trop peu pour ne pas permettre a un 
utilisateur malhonnete de faire circuler des donnees non 
25 autorisees. 

D'un point de vue physique, les deux interfaces peuvent 
etre realisees sur la meme carte reseau. 

La distinction entre entree et sortie est valable pour le 
trafic allant dans un sens. Si Tinvention traite egalement le trafic 
30 dans Tautre sens, les roles des interfaces sont intervertis. 

Dans le procede de Tinvention, on execute d'abord la 
designation des classes de flux a survelller. 

La designation des classes flux a surveiller peut se baser 
sur la valeur de certains champs du paquet IP te! que cela ce 
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pratique pour la configuration des passerelles IPsec (RFC 2401) 
ou des firewalls. 

Par exemple, on peut retenir une designation des classes 
de flux par une combinalson des valeurs sulvantes: une adresse 
5 ou une plage d'adresses IP source, une adresse ou une plage 
d'adresses !P destination, un protocole de niveau superieur (UDP, 
TCP, ICMP...)> un numero de port, une valeur d'un champ dans ia 
partie protocole de niveau superieur. 

De maniere generale, tout champ protocolaire lisible et 
10 interpretable par i'equipement peut etre retenu comme critere de 
selection, quelque soit son niveau dans la pile des protocoles. 

De maniere specifique, dans le cas ou invention ne 
fonctionne que comme un ajout a un service particulier, 
Timpiantation d'un systeme de designation de classe de ftux 
15 complet n'est pas forcement necessaire. Par exemple si le 
precede de IMnvention est ajoute a un serveur de resolution de 
noms DNS dans le but d'empecher les canaux caches sur ie 
protocole DNS, alors seule la classe de flux DNS est surveillee, 
ainsi qu'il sera decrit plus loin. Par consequent il n*est pas utile 
20 de laisser la possibilite de designer d'autres classes de flux, 

Dans un mode de realisation de Tinvention, on execute un 
armement du mecanisme de bridage des flux a surveiller. 

Quand on detecte, sur Tinterface d'entree 15 de 
Tequipement de traitement des flux, un flux Fje issu d'une machine 
25 particuliere et appartenant a une classe de flux a surveiller, on 
cree dynamiquement un compteur associe a ce flux. Pour le flux 
indexe N, on note CPTn le compteur associe. 

Dans un mode de realisation de ['invention, le processeur 
16 de traitement des flux met en oeuvre un mecanisme de bridage 
30 des flux non autorises. 

Chaque fois qu'un paquet de donnees arrive sur ['interface 
d'entree 15, lors d'une etape 21 : 

Lors d'une etape 22, on execute un test de mise sous 
surveillance, s'il n'appartient pas a un flux sous surveillance, 
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alors il est reemis immediatement sur Tinterface de sortie 17 (ors 
d'une etape 23. 

Lors d'un test 24, on verifie si le paquet arrive appartient a 
un flux sous surveillance. 
5 SMI appartient a un flux sous surveillance c'est-a-dire si un 

connpteur CPTn lui est deja associe, alors, lors d'une etape 25, le 
compteur CPTn est incremente d'un pas comme Tunite de 1 et le 
paquet est reemis sur Tinterface de sortie 17 lors d'une etape 23, 
qui depend d'une fonction f() predeterminee dependant de la 
10 valeur en cours du compteur CPTn apres un delai Dn = f(CPTN). 

La fonction f() est appelee fonction de retardement. 

Dans un mode de realisation, a chaque paquet reemis sur 
rinterface de sortie 17, le compteur CPT/v est decrements de un 
pas, comme Tunite 1, lors d'une etape 26. 
15 Dans un mode de realisation, le precede de invention 

comporte ensuite un mecanisme de relachement de la 
surveillance d'un flux, 

Une fois que le compteur CPTm atteint una valeur 
suffisamment basse, cela signifie quMl n*y a plus de tentative 
20 d'emlssion de trafic illicite. Le compteur CPTm peut alors etre 
supprime et trafic n'est plus sous surveillance. Cette propriete 
n'est toutefois pas indispensable, le trafic peut rester sous 
surveillance indefiniment. 

Si a Tissue du test 24, le paquet n'a pas ete identifie 
25 comme appartenant a une classe de flux sous surveillance, on 
attribue a son flux un nouveau compteur CPTn et on execute 
retape 25. 

La fonction de retardement f n'est pas necessairement 
unique pour toutes les classes de flux, Ainsi on pourra retarder un 
30 flux DNS avec une fonction f1 et un flux ICMP avec une fonction 
f2. 

La fonction de retardement f doit etre au minimum 
croissante de fagon a ce que plus Tattaquant envoie de trafic, 
plus son trafic est retarde. - 
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Une fonction de retardement f a derivee seconde positive 
bioquera tres vite le flux de Pattaquant. Par exemple f(CPTt^) = 
exp(a CPTn + ^) avec a >_0. 

Dans le cas d'une tentative de saturation de Tequipement 
5 de controle, un compteur CPTMAXn peut aussi etre utilise, si le 
nombre de paquets en attente d'emission depasse fa valeur 
CPTMAXn parametree par I'administrateur, aiors les paquets en 
attente sont detruits selon un aigorithme a choisir. Cette 
fonctionnalite a pour but d'eviter une saturation des ressources de 
10 rinvention. 

On presente ici un nnode de realisation du procede de 
rinvention implemente dans un serveur DNS local au reseau a 
proteger. 

On va maintenant decrire Tattaque se developpant sans 

15 rintervention du procede de {'invention. 

Un reseau local. 30 avec controle des flux est souvent 
construit selon un plan presente sur le schema de la figure 5. Le 
reseau local contient des terminaux, dont un exennplaire est 
represents en 34, un serveur DNS, nomme DNS local 31 et un 

20 routeur/firewall 32 qui assure Tinterconnexion du reseau local 30 
avec un autre reseau 33 connme le reseau Internet. 

Le routeur/firewall 32 est configure pour interdire certains 
flux, par exemple des flux « ftp ». Pour contourner IMnterdiction 
36, le terminal 34 va encapsuler les paquets « ip » qui 

25 transportent le flux « ftp » dans des paquets DNS sur des 
chemins de flux DNS 37, par exemple, en codant de IMnformation 
dans des champs specifiques du paquet. II s'assure aussi que la 
requite DNS ne pourra etre traitee que par le serveur DNS pirate 
38 sous le controle du pirate a Texterieur du reseau local, en 

30 choisissant judicieusement les noms de domaines de la requete. 
La machine DNS pirate 38 pourra aiors transferer les paquets 
vers le serveur « ftp » 39 demande par le terminal. Le trafic dans 
{'autre sens prend exactement le chemin inverse. 
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En implementant Tinvention sur le serveur DNS local, les 
attaques par canaux caches sur DNS seront completement 
bloquees. 

1) Dans ce cas precis decrit a la figure 5, il n*y pas besoin 
5 d'implementer une gestion des classes de flux et des flux sous 

surveillance. En effet, seuls les flux DNS passent. par cette 
machine. 

2) Par ailleurs, on peut surveiller tous les flux DNS en 
associant un flux a surveiller, c'est~a-dire creer un compteur CPj 

10 pour chaque terminal et ne jamais I'effacer. On fixe une valeur 
maximale de CPj comme CPTMAX, CPTMAX = 2000. 

3) On decide arbitrairement que pour les services autorises 
sur le reseau local, comme un service par exemple http, un debit 
seuil exprime par un nombre maximum de requetes DNS, par 

15 exemple de 30 par secondes et par terminal est acceptable. 

4) On suppose qu'une attaque par canaux caches par un 
terminal provoque une brusque elevation du nombre de requetes 
DNS de Tordre de 100 par seconde. 

5) On choisit f(CPT) = exp(CPT/15) comme fonctiop de 

I' - 

20 retardement (exprime en milliseconde) 

On peut distinguer trois modes de fonctionnement d'un 
systeme DNS: 

- un fonctionnement normal : Tutilisateur n'est pas mal 
intentionne et fait un usage du systeme conforme a ce qui a ete 

25 prevu. 

- un fonctionnement anormal : Tutilisateur est mal 
intentionne et est probablement en train de commettre une 
attaque sur le systeme. 

- un fonctionnement sub-normal : Tutilisateur n'est pas mal 
30 intentionne mais fait fonctionner ponctuellement le systeme 

legerement au dela des limites prevues. 

L'analyse qui suit permet de montrer que !e systeme 
s'auto-adapte a ces trois cas pour permettre a Tutilisateur 
d^utiliser correctement le service DNS dans le cas "normal" et 
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"sub-normal", avec toutefois une legere parte de qualite de 
service dans le dernier cas; et de bloquer le trafic dans le cas 
"anormal". L'analyse qui suit n'est pas rigoureuse mais elle 
permet d'illustrer avec des valeurs numeriques une 

5 implementation du precede, que Ton suivra sur un graphe 
temporel de la figure 6, representant revolution du nombre de 
requetes par seconde en fonction du temps. 

A la figure 6, on a represente revolution du nombre de 
requetes DNS par seconde en fonction du temps, Du fait de la 

10 structure du serveur DNS, le compteur affecte au flux surveille 
augmente selon une droite 41. La courbe 42 indique Tarrivee des 
requetes pendant Tattaque et la courbe 40 indique !e nombre 
acceptable de requetes dans le serveur DNS. Enfin la courbe 43 
indique revolution du nombre des requetes reemises sur 

15 interface de, sortie de I'equipement de traitement de flux DNS 
auquel le precede de protection de Tinvention est applique. 

1) Cas "normal" 

Lorsque le systeme n'est pas sous le feu d'une attaque, 11 
revolt des requdtes DNS a traiter avec une frequence de I'ordre 

20 de 30 par seconde selon le niveau 40 (figure 6), Le retard 
applique a chaque paquet est alors de exp(30/15)- 7,39 ms, Cette 
valeur montre qu'un paquet sera retarde d*au plus 7,39 ms. Ceci 
veut dire que pratiquement la totalite des paquets arrives pendant 
une duree d'une seconde seront reemis durant ia meme seconde. 

25 En effet, 30 paquets bloques au plus 7,39 ms totalisent une duree 
de 221,7 ms, ce qui est iargement inferieur a une seconde. Par 
consequent, le compteur CPT garde une valeur voisine de 0. 

2) Cas "anormal" 

Lorsque le systeme est sous le feu d'une attaque sur un 
30 serveur DNS, le precede de invention attribue un compteur CPT 
au flux de Tattaquant, compteur qui va evoluer selon la courbe 41. 
Par example 100 requetes par seconde, sent emises, en 
moyenne, sur une seconde. Les paquets seront ralentis de 
exp(100/15)- 785,77 ms. Par consequent, sur la duree, CPT aura 
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augmente d'une valeur SCPT, grossierement comprise entre 50 et 
100 puisque tres peu des paquets arrives n'auront ete reemis. 
Ensuite, le retard applique aux paquets arrives la seconde d'apres 
sera de exp((100 + SCPT)/15) = exp(SCPT) ""785,77 ms » 20 s. 
5 On voit done bien que rapidement le delai applique deviant 

completement bloquant (20 s) et ne cesse de croTtre jusqu'a 
atteindre des limites fixees par la valeur maximale de CPT, 
3) Cas "subnormal" 

Lorsque le systeme n'est pas sous !e feu d'une attaque, il 

10 peut subir simplement une hausse brutale et ponctuelle du 
nombre de requetes C'est le cas d'un utilisateur qui visualise une 
page html qui comporte de nombreuses URL, par exemple 40. 
Alors CPT va sortir de la zone de « bon fonctionnQment » 
momentanement. Au maximum un retard de exp(40/15)^ 14,39 ms 

15 sera applique, ce qui est insensible pour I'utilisateur qui affiche 
une page litml dans un navlgateur. De plus, cette valeur ne 
permet pas a CPT de croTtre demesurement car les 40 paquets 
arrives, meme retardes de 14,39 ms, peuvent repartir dans la 
seconde durant laquelle lis sont arrives. Un systeme 'tout ou rien' 

20 aurait bloque completement le trafic parce quMI etait sortit de la 
zone de bon fonctlonnement (CPT<30). A Tinverse, IMnvention 
n'introduit qu'une legere perte de qualite de service (un retard de 
14,39 ms) qui s'estompe au fur et a mesure que le systeme rejoint 
le mode de fonctionnement "normal". 

25 A titre de second exemple, on presente ici comment le 

precede de Tinvention peut etre implemente dans un serveur 
Proxy-RADIUS local au reseau a proteger. 

Globaiement, le fonctionnement est similaire a la 
description precedente sur Timplementation dans le service DNS. 

30 En effet, Tidee dans le cas de la limitation des impacts de 
rattaque sur Pauthentification GSIVI, est d'utiliser Tinvention en 
coupure du transport de Tauthentification GSM. Par consequent, 
la description sera plus succincte, et ne s'attardera que sur les 
points particuliers a !'authentificatioh GSM. 
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La position la plus simple du mecanisme de contrdle est le 
proxy-RADlUS pour plusieurs raisons: 

L'authentification transite a travers le proxy-RADiUS, quel 
que soit I'operateur GSM vise (roaming); 

5 Les modifications sur le reseau GSM de Toperateur sont 

tres lourdes et peuvent avoir un impact fort sur les clients GSM. 

Les champs utilises pour le mecanisme de controle seront 
contenus dans les donnees du mecanisme d'authentification EAP- 
SIM. En effet, ii est possible de savoir vers que! operateur 

10 Tautiientification EAP-SIM est demandee (sous la forme 
utilisateur@operateurGSM) . 11 est done possible de mettre en 
place rinvention au niveau du hot spot, pour proteger tous les 
operateurs GSM de ce type d'attaque par deni de service. 

Ensuite, ie mecanisme de controle s'execute dans le cadre 

15 normal de Tinvention (voir figure 3), qui permet de limiter le 
nombre de demandes d'authentification grace a une analyse 
comportementale sur le transport de rauthentification. 

On remarque que la presente invention comporte aussi un 
usage de detection des usages illicites. En effet, le protocole 

20 dans un mode de realisation de rinvention comporte aussi une 
etape pour detecter une evolution du debit associe a un flux 
surveille caracteristique d'un usage illicite. C'est particulierement 
le cas quand le compteur associe a un flux surveille passe par 
une valeur maximale, puis se reduit rapidement vers un debit nul. 

25 Dans un tel cas, le procede de rinvention permet de produire une 
alarme d'un tel usage illicite. Un tel signal d'alarme est transmis a 
un administrateur de reseau qui peut prendre toute mesure, 
notamment en tenant un historique des incidents, en cherchant 
ridentite des auteurs de tels usages illicites et en appliquant 

30 toute mesure uiterieure pour reduire I'acces a de teis auteurs. 



ABREVIATIONS 
DNS: Domain Name Service 
EAP: Extensible Authentication Protocol 
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EAP-SIM: EAP-Subscriber Identity Module 
GSM: Global System for Mobile Communications 
ICMP: Internet Control Message Protocol 
IP: Internet Protocol 
5 NAI: Network Access Identifier (identificateur d'acces reseau) 

RADIUS: Remote Access Dial In User Service (service des 
utilisateurs pour la numerotation distante) 

TCP: Transport Control Protocol (protocole de commande de 
transport) 

10 UDP: User Datagram Protocol (protocole d'utilisation de 
datagrammes) 

IDS : Intrusion Detection System (systeme de detection 
d'intrusion) }i 
IPS = Intrusion Prevention System (systeme de prevention 
15 d'intrusion) 

RFC : Request For Communication 

HTTP : Hyper Text Transfer Protocol (protocole de transfert de 
fichiers hypertexte) 

FTP : File Transfer Protocol (protocole de transfert de fichiers) 
20 HTML = Hyper Text Mark-up Language (langage de marquage 
hypertexte) 
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REVENDICATIONS 

1. Procede de detection at de prevention des usages 
itiicites de certains protocoles de reseaux sans alteration de leurs 
usages licites, caracterise en ce quM! consiste, pour un flux de 

5 paquets de donnees d'entree, a appliquer une fonction de 
retardement f() pour chaque paquet, appliquant un retard 
insuffisant pour gener un usage licite, mais suffisant pour gener 
un usage illicite. 

2. Procede selon la revendication 1, notamment dans un 
10 protocole de signalisation, caracterise en ce qu'il consiste a 

selectionner une fonction de retardement croissante avec le debit 
du flux surveille, de sorte que si Tusage illicite du protocole a titre 
de transport de donnees privees vient a depasser un debit 
standard, le retard croit indefiniment ce qui coupe pratiquennent le 
15 canal en usage illicite sans gener !es autres flux. 

3. Procede selon Tune des revendications precedentes, 
caracterise en ce qu'li consiste, a la detection (21) d'arrivee d'un 
paquet de donnees, a determiner (22) sMl appartient a un flux 
surveille et dans la negative, a lui affecter un compteur (CPT). 

20 4. Procede selon la revendication 3, caracterise en ce qu'il 

consiste, apres la detection (21) d'arrivee d'un paquet de 
donnees, a incrementer (25) le compteur associe au flux surveille 
(CPTn) d'un pas predetermine et a appliquer la valeur en cours du 
compteur comme argument de la fonction de retardement avant 

25 de rel§cher le paquet de donnees sur un flux de sortie. 

5. Procede selon la revendication 4, caracterise en ce qu'il 
consiste a selectionner une fonction de retardement a derivee 
seconde positive. 

6. Procede selon la revendication 5, caracterise en ce que 
30 la fonction de retardement est un exponentielle dependant du 

compteur associe au flux surveille selon une relation de la forme : 
f(CPTN) = exp(a '''' CPTn fi) avec a >^0. 

7. Procede selon I'une quelconque des revendications 3 a 
6, caracteris§ en ce qu'il consiste a determiner pour le flux 



ler depot 



Modifiee le 07/05/0 



22 

surveille une valeur maximale admissible de debit CPTMAX/sj, puis 
a determiner si le nombre de paquets en attente d'emission 
depasse la valeur CPTMAXt^, et en reponse a detruire les paquets 
en attente. 

5 8. Precede selon Tune quelconque des revendications 

precedentes, caracterise en ce quMI consiste, pour un systeme 
DNS, a s'auto-adapter dans : 

- un fonctionnement normal : Tutilisateur n'est pas mal 
intentionne et fait un usage du systeme conforme a ce qui a ete 

10 prevu, le compteur CPTassocie gardant une vaieur voisine de 0 ; 

- un fonctionnement anormal : Tutilisateur est mal 
intentionne et est probablement en train de commettre une 
attaque sur le systeme, le retard applique aux paquetso DNS 
augmentant et le compteur CPT associe augmentant ; 

15 - un fonctionnement sub-normal : futilisateur n'est pas mal 

intentionne mais fait fonctionner ponctuellement le systeme 
legerement au dela des limites prevues, le compteur CPT restant 
a des niveaux moderes. 

9. Procede selon Tune quelconque des revendications 1 a 
20 7, caracterise en ce qu'il est implements dans un serveur Proxy- 

RADiUS, local au reseau GSM a proteger, en ce quM! consiste a 
determiner des champs utilises pour le mecanlsme de controle 
contenus dans les donnees du mecanisme d'authentification EAP- 
SIM, puis a executer le mecanisme de controle pour limiter le 
25 nombre de demandes d'authentification grace a une analyse 
comportementale sur le transport de I'authentification, 

10, Protocole selon Tune quelconque des revendications 3 
a 9, caracterise en ce qu'il comporte aussi une etape pour 
detector une evolution du debit associe a un flux surveille 

30 caracteristique d'un usage illicite et pour produire une alarme 
d'un tel usage illicite- 
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surveille une valeur maximale admissible de debit CPTMAXn, puis 
a determiner si le nombre de paquets en attente d'emission 
depasse ia valeur CPTMAXn, et en reponse a detruire les paquets 
en attente, 

5 8. Precede selon i'une quelconque des revendications 

precedentes, caracterise en ce qu'il consiste, pour un systeme 
DNS, a s'auto-adapter dans : 

- un fonctionnement norma! : I'utilisateur n'est pas mal 
intentionn6 et fait un usage du systeme conforme a ce qui a ete 

10 prevu, le compteur CPT associe gardant une valeur voisine de 0 ; 

- un fonctionnement anormal : TutiHsateur est mal 
intentionne et est probablement en train de commettre une 
attaque sur le systeme, le retard applique aux paquets DNS 
augmentant et le compteur CPT associe augmentant ; 

15 - un fonctionnement sub-normal : I'utilisateur n'est pas mal 

intentionne mais fait fonctionner ponctuellement le systeme 
legerement au dela des limites prevues, le compteur CPT restant 
a des niveaux moderes. 

9. Precede selon I'une quelconque des revendications 1 a 
20 7, caracterise en ce quMl est implements dans un serveur Proxy- 

RADIUS, local au reseau GSM a proteger, en ce qu'il consiste a 
determiner des champs utilises pour le mecanisme de controle 
contenus dans les donnees du mecanisme d'authentification EAP- 
SIM, puis a executer le mecanisme de controle pour limiter le 
25 nombre de demandes d'auttientification grace a une analyse 
comportementale sur le transport de Tauthentification. 

10. Precede selon Tune quelconque des revendications 3 a 
9, caracterise en ce qu'il comporte aussi une etape pour detector 
une evolution du debit associe a un flux surveille caracteristique 

30 d'un usage tllicite et pour produire une alarme d'un tel usage 
illicite. 
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> flux DNS toujours autorise 

Realisation d*un canal cache "ftp dans DNS" rig. 
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